為什麼 Security Hub 會啟動「Lambda function policies should prohibit public access」的調查結果?
我收到 AWS Security Hub CSPM 針對我的 AWS Lambda 函式傳來「[Lambda.1] Lambda function policies should prohibit public access」調查結果。
簡短描述
Security Hub CSPM 包含類似以下的調查結果類型:
「[Lambda.1] Lambda function policies should prohibit public access」
此控制項回應因以下原因失敗:
- Lambda 函式可公開存取。
- 您從 Amazon Simple Storage Service (Amazon S3) 調用 Lambda 函式,且政策不包含 AWS:SourceAccount 的條件。
解決方法
**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤訊息,請參閱對 AWS CLI 錯誤進行疑難排解。此外,請確定您使用的是最新的 AWS CLI 版本。
若要更新資源型政策,您必須使用 AWS CLI。您可以根據使用案例,移除或更新 Lambda 函式的權限。
從 Lambda 函式移除權限
若要從 Lambda 函式移除權限,請執行以下 remove-permission AWS CLI 命令:
aws lambda remove-permission --function-name your-function-name --statement-id your-statement-id
**注意:**將 your-function-name 替換為您的 Lambda 函式名稱。將 your-statement-id 替換為您的陳述式 ID。
更新 Lambda 函式的權限
若要更新 Lambda 函式的權限,請執行以下 add-permission AWS CLI 命令:
aws lambda add-permission --function-name your-function-name --statement-id your-new-statement-id --action lambda:InvokeFunction --principal s3.amazonaws.com --source-account your-account-id --source-arn your-bucket-arn
**注意:**將 your-function-name 替換為您的 Lambda 函式名稱。將 your-new-statement-id 替換為您的新陳述式 ID。將 your-account-id 替換為您的 AWS 帳戶 ID。將 your-bucket-arn 替換為您的 Amazon S3 儲存貯體 ARN。
驗證權限
若要驗證權限已移除或更新,請重複檢視函式資源型政策的指示。
**注意:**如果政策中只有一個陳述式,則政策為空白。
如需更多資訊,請參閱 Security Hub CSPM 的控制項參考。
相關資訊
- 語言
- 中文 (繁體)
相關內容
- 已提問 4 年前
- 已提問 10 個月前
- AWS 官方已更新 5 個月前
